Zgoda na przetwarzanie danych osobowych to jeden z najczęściej wykorzystywanych, a zarazem najczęściej błędnie konstruowanych dokumentów w polskich firmach. Rok 2026 przynosi nowe wyzwania — od zaostrzonych kontroli Prezesa Urzędu Ochrony Danych Osobowych po rosnące oczekiwania konsumentów w zakresie przejrzystości. W tym artykule znajdziesz gotowy wzór zgody RODO, szczegółowe omówienie każdego elementu oraz praktyczne wskazówki, które uchronią Twoją firmę przed karą sięgającą 20 milionów euro.
Czym jest zgoda RODO i kiedy jest wymagana?
Zgoda na przetwarzanie danych to jednostronne oświadczenie woli, którym osoba fizyczna dobrowolnie, świadomie i jednoznacznie przyzwala na wykorzystanie swoich danych osobowych w konkretnym celu. Art. 4 pkt 11 RODO definiuje ją jako "dobrowolne, konkretne, świadome i jednoznaczne okazanie woli". Nie każde przetwarzanie wymaga zgody — rozporządzenie przewiduje sześć przesłanek legalności, a zgoda jest tylko jedną z nich.
Kluczowe sytuacje, w których zgoda jest niezbędna:
- Marketing bezpośredni drogą elektroniczną (e-mail, SMS, telefon) — pamiętaj, że tutaj równolegle działa ustawa o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne.
- Profilowanie i zautomatyzowane podejmowanie decyzji — gdy algorytmy analizują zachowania użytkownika, by np. przyznać mu scoring kredytowy.
- Przetwarzanie szczególnych kategorii danych — dane o zdrowiu, poglądach politycznych, przynależności związkowej, orientacji seksualnej czy danych biometrycznych. Tu art. 9 RODO wymaga wyraźnej zgody.
- Wykorzystanie wizerunku w celach promocyjnych, w social mediach, na stronie internetowej czy w materiałach reklamowych.
- Przekazywanie danych do państw trzecich, które nie posiadają decyzji stwierdzającej odpowiedni stopień ochrony (tzw. decyzji adekwatnościowej Komisji Europejskiej).
- Newslettery i komunikacja handlowa — jeśli nie opierasz się na prawnie uzasadnionym interesie (np. własna baza klientów po dokonanym zakupie).
Zgoda a inne przesłanki — pułapka nadużywania
Największym błędem polskich przedsiębiorców jest zbieranie zgód "na wszelki wypadek", nawet gdy istnieje inna, silniejsza podstawa prawna. Jeśli pracodawca przetwarza dane pracownika na podstawie Kodeksu pracy, dodatkowa zgoda jest nie tylko zbędna — jest nieważna z mocy prawa, ponieważ w relacji pracodawca–pracownik nie ma mowy o pełnej dobrowolności. Podobnie w sektorze medycznym: zgoda pacjenta na leczenie zastępuje zgodę na przetwarzanie niezbędnych danych medycznych.
W 2025 roku UODO ukarało kilka firm właśnie za tzw. kaskadowe zgody — sytuację, gdy jedna klauzula zawierała jednocześnie zgodę na marketing, profilowanie i przekazywanie danych podmiotom trzecim. Pamiętaj: jedna zgoda = jeden cel.
Elementy prawidłowej zgody — co musi zawierać dokument?
Prawidłowo skonstruowana zgoda RODO to znacznie więcej niż checkbox z tekstem "Wyrażam zgodę". Każdy z poniższych elementów został wielokrotnie przetestowany w decyzjach organów nadzorczych i wyrokach sądów administracyjnych.
1. Dobrowolność — fundament, bez którego zgoda upada
Dobrowolność oznacza rzeczywisty wybór i kontrolę osoby, której dane dotyczą. Nie może być warunkiem wykonania umowy (chyba że przetwarzanie jest niezbędne do jej realizacji — wtedy w ogóle nie stosujemy zgody). W praktyce oznacza to:
- Zakaz łączenia zgody marketingowej z regulaminem świadczenia usługi jako warunku koniecznego.
- Możliwość odmowy bez negatywnych konsekwencji (np. bez blokowania dostępu do konta).
- W relacji B2B — osobna zgoda dla osób fizycznych reprezentujących firmę, gdy przetwarzanie dotyka ich prywatnych danych.
Europejska Rada Ochrony Danych w wytycznych 05/2020 (zaktualizowanych w 2025 r.) wyraźnie wskazuje, że zgoda warunkowa, uzależniająca dostęp do usługi od wyrażenia zgody na marketing, jest nieważna. W 2026 roku UODO szczególnie intensywnie kontroluje serwisy e-commerce pod tym kątem.
2. Konkretność celu — zero ogólników
Cel musi być sformułowany precyzyjnie i zrozumiale dla przeciętnego konsumenta. Niedopuszczalne są formułowania typu "w celach marketingowych" czy "w celach analitycznych". Zamiast tego należy wskazać:
- Jaki kanał komunikacji (e-mail, SMS, telefon, powiadomienia push).
- Jaki rodzaj treści (newsletter, oferty handlowe, zaproszenia na wydarzenia).
- Od kogo (nazwa administratora, ewentualnie kategorie partnerów).
- Jaki zakres profilowania (jeśli dotyczy).
Przykład złej zgody: "Wyrażam zgodę na przetwarzanie danych w celach marketingowych."
Przykład dobrej zgody: "Wyrażam zgodę na otrzymywanie od XYZ Sp. z o.o. informacji handlowych drogą elektroniczną na podany adres e-mail, dotyczących promocji oprogramowania do zarządzania klientami."
3. Świadomość — przejrzystość i język
Zgoda musi być świadoma, co wprost łączy się z obowiązkiem informacyjnym z art. 13 i 14 RODO. Osoba musi znać tożsamość administratora, cel przetwarzania, okres przechowywania danych, prawa (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw, wycofanie zgody) oraz możliwość złożenia skargi do UODO.
Język klauzuli musi być prosty i zrozumiały — to wymóg z motywu 42 RODO. Unikaj prawniczego żargonu. Jeśli Twoją grupą docelową są seniorzy, rozważ uproszczone formularze z większą czcionką i dodatkowymi objaśnieniami.
4. Jednoznaczność — aktywne działanie
Zgoda nie może być domniemana ani oparta na milczeniu. Wymagane jest aktywne działanie użytkownika:
- Zaznaczenie checkboxa (pustego domyślnie!).
- Świadome kliknięcie przycisku "Zapisz się".
- W formularzach papierowych — własnoręczny podpis pod konkretną klauzulą.
Niedozwolone są: checkboxy zaznaczone domyślnie, zgoda wpleciona w tekst regulaminu bez osobnego mechanizmu akceptacji, czy uznanie kontynuacji przeglądania strony za zgodę.
5. Możliwość wycofania — równie łatwo jak wyrażenia
Art. 7 ust. 3 RODO wymaga, by wycofanie zgody było równie łatwe jak jej wyrażenie. Jeśli zgodę uzyskałeś przez jedno kliknięcie, rezygnacja też musi być dostępna na jedno kliknięcie — np. link "wypisz się" w każdej wiadomości e-mail. Nie możesz wymagać logowania, wysyłania listów czy dzwonienia.
Zgody RODO wzór — gotowy szablon do pobrania i wdrożenia
Poniżej przedstawiamy uniwersalny wzór zgody RODO, który spełnia wymogi na 2026 rok i został dostosowany do typowego scenariusza biznesowego — zbierania zgód marketingowych przez firmę oferującą produkty cyfrowe. Szablon można modyfikować, pamiętając o zasadzie "jeden cel = jedna zgoda".
Wzór nr 1: Zgoda marketingowa (e-mail)
Zgoda na otrzymywanie informacji handlowych drogą elektroniczną
☐ Wyrażam zgodę na przesyłanie przez KluczeSoft.pl (administrator:
Grupa KLUCZE sp. z o.o., ul. Przykładowa 15, 00-001 Warszawa,
KRS 0000123456) informacji handlowych na podany adres e-mail,
dotyczących promocji oprogramowania do fakturowania online,
zgodnie z ustawą o świadczeniu usług drogą elektroniczną.
Zgodę można wycofać w każdym momencie, klikając link "Wypisz się"
w otrzymanej wiadomości e-mail lub pisząc na adres:
dane.osobowe@kluczesoft.pl. Wycofanie zgody nie wpływa na
zgodność z prawem przetwarzania przed jej cofnięciem. Szczegóły
przetwarzania danych znajdują się w Polityce Prywatności.
Wzór nr 2: Zgoda na profilowanie
Zgoda na profilowanie w celach personalizacji oferty
☐ Wyrażam zgodę na analizowanie przez KluczeSoft.pl mojej
aktywności w serwisie (przeglądane produkty, historię zakupów,
kliknięcia w newsletter) w celu automatycznego dopasowywania
wyświetlanych ofert produktów do moich preferencji zakupowych.
Profilowanie nie wywołuje skutków prawnych i nie opiera się na
szczególnych kategoriach danych. Zgodę można wycofać przez
ustawienia konta w panelu klienta. Pełna klauzula informacyjna
dostępna jest w zakładce "Ochrona danych".
Wzór nr 3: Zgoda na wykorzystanie wizerunku
Zgoda na wykorzystanie wizerunku
☐ Wyrażam zgodę na nieodpłatne wykorzystanie mojego wizerunku
utrwalonego podczas wydarzenia "Forum Przedsiębiorców 2026"
w formie fotografii i nagrań wideo przez KluczeSoft.pl
w celach promocyjnych w mediach społecznościowych (Facebook,
LinkedIn, Instagram), na stronie internetowej kluczesoft.pl
oraz w materiałach drukowanych.
Zgoda udzielana jest na okres 36 miesięcy od daty wydarzenia.
Mogę ją wycofać w każdej chwili, kontaktując się z Inspektorem
Ochrony Danych: iod@kluczesoft.pl. Wycofanie zgody oznacza
zaprzestanie dalszego wykorzystania wizerunku, jednak materiały
już opublikowane w druku nie mogą być wycofane z obiegu.
Najczęstsze błędy przy zbieraniu zgód — lista kontrolna 2026
Z doświadczeń audytowych wynika, że firmy popełniają te same błędy. Oto top 10 błędów wraz ze sposobami ich naprawienia.
1. Łączenie wielu celów w jednej zgodzie (tzw. bundling)
Zamiast jednego checkboxa "Zgadzam się na marketing i analitykę" musisz rozdzielić cele. Każdy cel to osobny checkbox. UODO w decyzji z marca 2026 roku nałożył 450 000 zł kary na sieć handlową, która wymagała jednoczesnej zgody na newsletter, SMS-y, telemarketing i profilowanie.
2. Checkbox zaznaczony domyślnie
To absolutnie niedopuszczalne. Wyroki TSUE (sprawa C-673/17 Planet49) i decyzje UODO nie pozostawiają wątpliwości: pole musi być puste. Koniec, kropka.
3. Brak granularności — zgoda "wszystko albo nic"
Użytkownik musi mieć możliwość wyrażenia zgody na wybrane cele. Jeśli oferujesz newsletter i SMS-y — dwa checkboxy. Jeśli zgody na różne kanały — tyle checkboxów, ile kanałów.
4. Ukrywanie klauzuli w długim regulaminie
Zgoda nie może być elementem regulaminu akceptowanego "w pakiecie". Musi być wizualnie wyodrębniona, najlepiej w osobnym bloku przed przyciskiem "Zarejestruj się" lub "Zapisz się".
5. Niejasny administrator — "nasi partnerzy"
Formułowanie "nasi zaufani partnerzy" jest niedopuszczalne, jeśli nie podasz ich konkretnych nazw lub przynajmniej kategorii z możliwością uzyskania pełnej listy na żądanie. Art. 13 RODO wymaga wskazania odbiorców danych.
6. Brak dowodu na wyrażenie zgody
Zgodnie z art. 7 ust. 1 RODO, to na administratorze ciąży obowiązek wykazania, że zgoda została udzielona. System musi logować: znacznik czasu, adres IP, identyfikator sesji, treść zgody oraz wersję klauzuli. Rekomendujemy przechowywanie tych logów przez minimum 6 lat od wycofania zgody.
7. Traktowanie zgody jako jedynej podstawy dla pracowników
W relacji pracodawca–pracownik zgoda jest z zasady wadliwa. Nie proś pracowników o zgodę na monitoring, jeśli możesz oprzeć go na prawnie uzasadnionym interesie i odpowiednich przepisach Kodeksu pracy (po zmianach z 2025 r. dotyczących pracy zdalnej).
8. Milczące przedłużanie zgody po latach
Zgoda nie jest wieczna. Jeśli od ostatniej interakcji minęło kilka lat, zgoda może być uznana za nieaktualną. Rekomendujemy okresowe kampanie re-consentowe (co 3–5 lat), szczególnie w bazach B2C.
9. Utrudnione wycofanie zgody
Link do wypisania się musi być wyraźny w każdym e-mailu. Nie możesz wymagać logowania do panelu klienta, jeśli zgoda dotyczy komunikacji e-mail. Praktyka "kliknij odpowiedz i napisz STOP" jest dyskusyjna — lepiej dać automatyczny link.
10. Brak aktualizacji zgód przy zmianie celu
Jeśli zmieniasz cel przetwarzania (np. z newslettera na przekazywanie danych partnerom), stara zgoda nie obowiązuje. Potrzebujesz nowej zgody, chyba że nowy cel jest kompatybilny z pierwotnym (test zgodności celów z art. 6 ust. 4 RODO).
Aspekty techniczne — jak prawidłowo przechowywać zgody RODO w systemie?
Audytorzy UODO podczas kontroli w 2026 roku rutynowo sprawdzają, czy systemy IT umożliwiają odtworzenie pełnej historii zgód. Przygotuj się, wdrażając rejestr zgód z następującymi polami:
| Pole | Opis | Przykład |
|---|---|---|
| ID zgody | Unikalny identyfikator rekordu | CONS-2026-0045821 |
| Identyfikator osoby | ID użytkownika w systemie CRM | USER-88231 |
| Znacznik czasu | Data i godzina wyrażenia zgody (UTC) | 2026-06-10T14:32:00Z |
| Wersja klauzuli | Unikalny identyfikator treści zgody | TPL-newsletter-v3.2 |
| Treść zgody | Pełen tekst wyświetlonej klauzuli | (przechowywany jako string) |
| Kanał pozyskania | Formularz www, aplikacja mobilna, papier | web-form-checkout |
| Adres IP | Źródłowy adres IP | 83.23.XX.XX |
| Status | Aktywna, Wycofana, Wygasła | Aktywna |
| Data wycofania | Kiedy użytkownik cofnął zgodę | 2027-01-15T09:10:00Z |
Dodatkowo każda zmiana statusu zgody powinna być nieusuwalnie logowana (append-only log), najlepiej z użyciem mechanizmów zapewniających integralność danych, np. podpisów cyfrowych lub blockchain.
Częste pytania
1. Czy potrzebuję zgody RODO na wysyłkę faktury?
Nie. Wysyłka faktury wynika z obowiązku prawnego (art. 6 ust. 1 lit. c RODO) oraz wykonania umowy. Zgoda marketingowa nie jest tu potrzebna. Nie możesz jednak przy okazji wysyłki faktury dodawać treści marketingowych bez odpowiedniej podstawy prawnej.
2. Jak długo ważna jest zgoda RODO?
RODO nie określa sztywnego terminu ważności zgody, ale musi ona pozostać adekwatna do celu. Jeśli przez 5 lat nie wysyłasz newslettera, zgoda staje się nieaktualna. W praktyce, przy aktywnym kontakcie, zgoda marketingowa zachowuje ważność do momentu jej wycofania — jednak zaleca się okresowe odświeżanie co 3–5 lat.
3. Czy zgoda ustna jest ważna?
Tak, RODO dopuszcza zgodę w formie ustnej, oświadczenia pisemnego (w tym elektronicznego) oraz zachowania (np. podanie wizytówki na targach). Jednak ciężar dowodu spoczywa na administratorze — zgodę ustną trudno udowodnić podczas kontroli. Rekomendujemy formę elektroniczną z logowaniem.
4. Co z danymi po wycofaniu zgody?
Po wycofaniu zgody musisz zaprzestać przetwarzania na tej podstawie, ale możesz nadal przechowywać dane, jeśli masz inną podstawę (np. obowiązek podatkowy — 5 lat od końca roku podatkowego). Dane przetwarzane wyłącznie na podstawie zgody marketingowej usuwasz niezwłocznie po wycofaniu.
5. Czy muszę zgłaszać wycofanie zgody podmiotom trzecim?
Tak. Jeśli przekazałeś dane partnerom na podstawie zgody, masz obowiązek poinformować ich o jej cofnięciu, chyba że jest to niemożliwe lub wymaga niewspółmiernie dużego wysiłku (art. 19 RODO). W praktyce lepiej zautomatyzować ten proces w umowach powierzenia.
6. Czy dziecko może wyrazić zgodę RODO?
W Polsce dziecko po ukończeniu 16 lat może samodzielnie wyrazić zgodę w kontekście usług społeczeństwa informacyjnego (art. 8 RODO, implementowany w polskiej ustawie o ochronie danych osobowych). Poniżej tego wieku wymagana jest zgoda rodzica lub opiekuna prawnego. Serwisy z treściami dla dzieci powinny wdrożyć mechanizmy weryfikacji wieku.
7. Jaka kara grozi za brak zgody?
Administratorowi grozi administracyjna kara pieniężna do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa. W 2025 roku średnia kara UODO za naruszenia związane ze zgodami wyniosła około 180 000 zł.
8. Czy mogę używać zgody jako podstawy do monitoringu wizyjnego?
Zasadniczo nie. Monitoring opiera się najczęściej na prawnie uzasadnionym interesie administratora (ochrona mienia, bezpieczeństwo). Użycie zgody w miejscach publicznych jest trudne do pogodzenia z zasadą dobrowolności — osoba wchodząca na teren monitorowany nie ma realnego wyboru.
9. Jak udokumentować zgodę papierową?
Formularz papierowy musi zawierać odrębne checkboxy do każdego celu, datę, podpis i czytelne dane osoby. Administrator przechowuje oryginał lub skan przez okres przedawnienia roszczeń. Rekomendujemy digitalizację dokumentów papierowych i rejestrację w systemie CRM z adnotacją o źródle.
Zmiany i trendy RODO na 2026 rok — na co przygotować firmę?
Rok 2026 przynosi kilka istotnych zmian w krajobrazie ochrony danych osobowych, które bezpośrednio wpłyną na sposób zbierania i zarządzania zgodami.
Akt w sprawie sztucznej inteligencji (AI Act) — od sierpnia 2026 r. wchodzą w życie przepisy dotyczące systemów AI wysokiego ryzyka. Jeśli profilujesz klientów z użyciem algorytmów uczenia maszynowego, zgoda musi uwzględniać informację o tym, że decyzje są podejmowane z użyciem AI. UODO zapowiedział wzmożone kontrole w tym obszarze, szczególnie w e-commerce i ubezpieczeniach.
Zwiększona transparentność — projektowane zmiany w Kodeksie postępowania administracyjnego przewidują, że obywatel musi otrzymać pełną kopię swoich danych (łącznie z logami dostępów i profilowaniem) w ciągu 14 dni (obecnie miesiąc z możliwością przedłużenia). Przygotuj systemy do szybszej ekstrakcji danych.
Nowe wytyczne EROD dotyczące zgody w kontekście cookies — mimo że to temat głównie dla e-Privacy, planowane rozporządzenie ePrivacy (wciąż negocjowane) może zharmonizować zasady zgód online. Na razie obowiązuje zasada: osobna zgoda na cookies marketingowe, osobna na RODO.
Rosnące kary — Prezes UODO wprost zapowiedział w 2026 roku intensywniejsze kontrole sektora MŚP, gdzie dotychczas koncentrował się głównie na dużych podmiotach i sektorze publicznym. Jeśli Twoja firma jeszcze nie ma uporządkowanego rejestru zgód, to ostatni dzwonek.
Praktyczne wdrożenie — krok po kroku
Oto 5-etapowy proces, który pozwoli Ci wdrożyć zgodny system zbierania zgód w 2026 roku.
Krok 1: Inwentaryzacja
Zbierz wszystkie formularze na stronie internetowej, landing page'ach, aplikacjach mobilnych i materiałach papierowych. Wypisz, gdzie i w jakim celu zbierasz zgody. Usuń checkboxy zaznaczone domyślnie.
Krok 2: Przegląd treści klauzul
Każdą klauzulę skonfrontuj z wymogami: czy cel jest konkretny? Czy administrator jest wskazany? Czy okres przechowywania jest podany? Czy informacja o możliwości wycofania zgody jest czytelna? Zaktualizuj treści do standardów 2026.
Krok 3: Rozdzielenie celów
Tam, gdzie jeden checkbox obejmuje wiele celów — podziel na osobne zgody. Pamiętaj: każdy checkbox to osobne pole logiczne w bazie danych, nie jeden string ze zlepkiem.
Krok 4: Wdrożenie rejestru zgód
Zaimplementuj logowanie zgód z pełną historią zmian. Upewnij się, że system wspiera mechanizm "zapomnij" (usunięcie danych po wycofaniu zgody, jeśli nie ma innej podstawy) oraz eksport danych do formatu umożliwiającego przenoszenie (CSV, JSON).
Krok 5: Test i audyt wewnętrzny
Przeprowadź test: wyraź zgodę, wycofaj ją, poproś o kopię danych. Sprawdź, czy link do wypisania się działa, czy czas reakcji na żądanie użytkownika mieści się w ustawowych 30 dniach, a dane są prawidłowo usuwane z systemów backupowych (zgodnie z zasadą minimalizacji danych).
Prawidłowe zarządzanie zgodami RODO to nie tylko ochrona przed karami — to fundament zaufania klientów w erze cyfrowej. Jeśli szukasz narzędzia, które zautomatyzuje rejestr zgód, zapewni zgodność z RODO i AI Act oraz zintegruje się z Twoim CRM, zespół KluczeSoft.pl przygotował rozwiązanie szyte na miarę dla polskich MŚP — skontaktuj się z nami, by poznać szczegóły wdrożenia.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.